防火墙安装调试方案

实施方案1、项目概况山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场，每个风场两台，累计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作，用于满足自动化应用系统安全需求。2、服务范畴、服务内容2.1供货范畴本工程的供货范畴见表2-1所示。表2-1供货需求一览表序号设备名称单位数量备注1防火墙设备套142其它安装附件2.2工作范畴供货商的工作范畴涉及：提供合同内全部硬件设备和软件，并确保系统完全符合最后技术规范的规定。提供所需的系统技术资料和文献，并对其对的性负责。提供全部合同设备的备品备件和安装、维护所需的专门工具和实验仪器仪表（涉及调节、测试和校核）。负责进行工厂验收，将设备运输（含搬运至指定位置）、安装在现场(设备机房)以及现场调试直至成功地投入运行。负责提出设备对供电、接地、消防、运行环境及安装等规定。负责完毕与买方另外购置的其它设备接口连接调试工作。负责现场勘察，与风场协调、拟定设备安装位置，制订设备安装、调试计划。负责编制实验、验收的计划报告。在两年保修期内提供必要的保修服务，卖方应确保及时免费维修或更换任何并非有买方人员非正常操作而造成的缺点或故障，并应提供限时达成现场的维修服务。由我公司进行安装调试，并提供售后服务。技术培训。按合同规定为买方提供必要其它的服务。3、服务根据、工作目的；3.1服务根据《信息技术设备的安全》GB4943－《建筑物电子信息系统防雷技术规范》GB50343-《环境电磁卫生原则》GB5175-88《电磁辐射防护规定》GB8702-88《电气装置安装工程施工及验收规范》GB50254-96《电气装置安装工程施工及验收规范》GB50255-963.2工作目的本工程计划工期30日历天，质量执行国家现行验收原则及规定，达成合格原则，严格执行安全方法，达成安全零事故。4、服务机构设立、岗位职责4.1服务机构设立**设立两个服务小组，随时调遣工作。机构涉及服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。下图为我公司的服务机构架构图：4.2岗位职责1、服务主管：a．分管售后服务全方面工作，根据公司实际状况完善售后服务体系及制订售后服务工作计划。b．对售后服务人员进行监督和评审，确保公司的各类规章制度在所管理区域内得到贯彻。

c．解决售后服务纠纷及突发事件的解决工作。

d．安排销售部门或专职人员做好回访工作，确保质量。

e．受理客户投诉等客户关系维护与管理工作。

f．分析与整顿售后服务反馈的资料、信息等整顿后报主管领导并告知到有关部门。

g．对员工进行售后服务规范的培训工作。h．配合销售部门做好顾客售前、售中、售后现场培训工作。

i．完毕上级领导临时交办的工作。2、调度员：a．制订具体服务方案和配件投放计划。b．综合管理与协调服务调度、现场督导、三包鉴定、服务稽查、信息服务、三包配件管理与配送、顾客进厂维修等各项工作。b．服务车辆农忙期间及日常管理，包含服务区域、行驶路线、费用登记审核等。d．负责外出服务人员需报销费用的审核。e．对服务站及外派服务人员服务效果做综合评价，监督并督促提高服务质量。f．调度各区域人员、整合车辆等多个服务资源进行现场抢修服务。g．对疑难问题、重大问题及时进行报告；h．服务人员的服务效果评价和考核、服务补贴的兑现。i．服务站日常管理及服务费的逐个审核、兑现。i．完毕上级领导临时交办的工作。（3）市场信息收集员：A．根据顾客报修电话统计对顾客进行电话回访，对有关费用进行核查。b．负责服务信息收集、重点质量问题统计。c．实时理解市场服务动态，收集同行业产品服务和质量信息，为公司服务决策和产品质量提供信息支撑。d．负责督促各销售区域回传顾客档案，并对建立健全顾客档案负责。e．完毕上级领导临时交办的工作。（4）配件管理员职责：a．负责各经销网点、外派服务队、驻点服务人员往来帐目的管理，以及三包配件日常业务的办理。b．负责组织经公司、部门领导审批后的三包配件计划的发送。c．负责三包配件的回收管理，部件往来帐目的核对。d．在农忙季节，协助服务主管制订配件需求计划。e.完毕本部门领导临时安排的有关工作任务。f.对所发三包配件的型号、数量、目的地等精确性负责。（5）维修管理员职责：a．负责售后维修中心场地管理与设备正常运转。b．合理配备维修人员。c．拟定维修方案，督促维修进度，监督维修质量。d．完毕上级领导临时交办的工作。（6）鉴定员职责：a．办理顾客、服务人员、销售网点返厂三包旧件的鉴定退库。b．对出现的质量问题进行统计汇总。（7）技术员岗位职责精通计算机网络建设与开发、纯熟网络安全技术、路由器、交换机等配备，对国家信息建设有较深认识，熟悉国家互联网法规及有关制度、方法。有一定的职业敏锐度，能及时把握多个软硬件的市场行情及行业信息。5、拟投入人员、仪器设备；5.1拟投入人员我单位将配备技术力量雄厚的施工团体为此项目服务。具体安排以下：序号职务数量1项目经理1人2技术负责人1人4技术员2人5.2拟投入仪器设备序号机械或设备名称规格数量国别产地制造年份1数字万用表MS82175中国2兆欧表500V1中国3剥线器K140-14中国4线号标记机I.D.PRO1中国5信号发生器541TG1中国6示波器ST80011中国7直流稳压电源JW-42中国8接地电阻测试器ZC-81中国9绝缘电阻测试器NF2511A1中国10无线对讲机MOTOROLA2中国11工程车国产1中国12手提电脑SONY1中国注：在合同实施过程中，施工机械投入满足工程的实际需要。6、针对性工作方案6.1拓扑图GE0/0/1：/24

GE0/0/2：6/24

GE0/0/3：/24

WWW服务器：/24（DMZ区域）

FTP服务器：/24（DMZ区域）6.2Telnet配备配备VTY的优先级为3，基于密码验证。#进入系统视图。<USG5300>system-view#进入顾客界面视图[USG5300]user-interfacevty04#设立顾客界面能够访问的命令级别为level3[USG5300-ui-vty0-4]userprivilegelevel3配备Password验证#配备验证方式为Password验证[USG5300-ui-vty0-4]authentication-modepassword#配备验证密码为lantian[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123配备空闲断开连接时间#设立超时为30分钟[USG5300-ui-vty0-4]idle-timeout30[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//不加这个从公网不能telnet防火墙。基于顾客名和密码验证user-interfacevty04authentication-modeaaaaaalocal-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!!local-useradminservice-typetelnetlocal-useradminlevel3firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认状况下已经开放了trust域到local域的缺省包过滤。6.3地址配备内网：进入GigabitEthernet0/0/1视图[USG5300]interfaceGigabitEthernet0/0/1配备GigabitEthernet0/0/1的IP地址

[USG5300-GigabitEthernet0/0/1]ipaddress配备GigabitEthernet0/0/1加入Trust区域[USG5300]firewallzonetrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG5300-zone-untrust]quit外网：进入GigabitEthernet0/0/2视图[USG5300]interfaceGigabitEthernet0/0/2配备GigabitEthernet0/0/2的IP地址[USG5300-GigabitEthernet0/0/2]ipaddress6配备GigabitEthernet0/0/2加入Untrust区域[USG5300]firewallzoneuntrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2[USG5300-zone-untrust]quitDMZ：进入GigabitEthernet0/0/3视图[USG5300]interfaceGigabitEthernet0/0/3配备GigabitEthernet0/0/3的IP地址。[USG5300-GigabitEthernet0/0/3]ipaddress[USG5300]firewallzonedmz[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3[USG5300-zone-untrust]quit6.4防火墙方略本地方略是指与Local安全区域有关的域间安全方略，用于控制外界与设备本身的互访。域间安全方略就是指不同的区域之间的安全方略。域内安全方略就是指同一种安全区域之间的方略，缺省状况下，同一安全区域内的数据流都允许通过，域内安全方略没有Inbound和Outbound方向的分辨。方略内按照policy的次序进行匹配，如果policy0匹配了，就不会检测policy1了，和policy的ID大小没有关系，谁在前就先匹配谁。缺省状况下开放local域到其它任意安全区域的缺省包过滤，方便设备本身的对外访问。其它接口都没有加安全区域，并且其它域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配备域间安全方略或开放缺省包过滤。安全方略的匹配次序：每条安全方略中涉及匹配条件、控制动作和UTM等高级安全方略。匹配条件安全方略能够指定多个匹配条件，报文必须同时满足全部条件才会匹配上方略。例如以下方略policy1policyserviceservice-setdnspolicydestination230policysource在这里policyservice的端口53就是指的是23的53号端口，能够说是目的地址的53号端口。域间能够应用多条安全方略，按照方略列表的次序从上到下匹配。只要匹配到一条方略就不再继续匹配剩余的方略。如果安全方略不是以自动排序方式配备的，方略的优先级按照配备次序进行排列，越先配备的方略，优先级越高，越先匹配报文。但是也能够手工调节方略之间的优先级。缺省状况下，安全方略就不是以自动排序方式。如果安全方略是以自动排序方式配备的，方略的优先级按照方略ID的大小进行排列，方略ID越小，优先级越高，越先匹配报文。此时，方略之间的优先级关系不可调节。policycreate-modeauto-sortenable命令用来启动安全方略自动排序功效，默认是关闭的。如果没有匹配到安全方略，将按缺省包过滤的动作进行解决，因此在配备具体安全方略时要注意与缺省包过滤的关系。例如安全方略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全方略的流量也会通过，就失去配备安全方略的意义了。同样，如果安全方略中只配备了需要回绝的流量，其它流量都是允许通过的，这时需要开放缺省包过滤才干实现需求，否则会造成全部流量都不能通过。执行命令displaythis查看现在已有的安全方略，方略显示的次序就是方略的匹配次序，越前边的优先级越高执行命令policymovepolicy-id1{before|after}policy-id2，调节方略优先级。UTM方略安全方略中除了基本的包过滤功效，还能够引用IPS、AV、应用控制等UTM方略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才干进行UTM解决，如果匹配到deny直接丢弃报文。安全方略的应用方向域间的Inbound和Outbound方向上都能够应用安全方略，需要根据会话的方向合理应用。由于USG是基于会话的安全方略，只对同一会话的首包检测，后续包直接按照首包的动作进行解决。因此对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全方略。如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全方略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。6.4.1Trust和Untrust域间：允许内网顾客访问公网方略普通都是优先级高的在前，优先级低的在后。policy1：允许源地址为/24的网段的报文通过配备Trust和Untrust域间出方向的防火墙方略。//如果不加policysource就是指any，如果不加policydestination目的地址就是指any。[USG5300]policyinterzonetrustuntrustoutbound[USG5300-policy-interzone-trust-untrust-outbound]policy1[USG5300-policy-interzone-trust-untrust-outbound-1]policysource55[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit[USG5300-policy-interzone-trust-untrust-outbound-1]quit如果是允许全部的内网地址上公网能够用下列命令：[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound//必须添加这条命令，或者firewallpacket-filterdefaultpermitall，但是这样不安全。否则内网不能访问公网。注意：由优先级高访问优先级低的区域用outbound，例如policyinterzonetrustuntrustoutbound。这时候policysourceip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配备成policyinterzoneuntrusttrustoutbound也会变成policyinterzonetrustuntrustoutbound。由优先级低的区域访问优先级高的区域用inbound，例如是policyinterzoneuntrusttrustinbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成policyinterzonetrustuntrustinbound，这时候policysourceip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。inbount时，source地址为优先级低的地址，destination地址为优先级高的地址配备完毕后能够使用displaypolicyinterzonetrustuntrust来查看方略。6.4.2DMZ和Untrust域间：从公网访问内部服务器policy2：允许目的地址为10.10.11policy3：允许目的地址为10.10.11配备Untrust到DMZ域间入方向的防火墙方略，即从公网访问内网服务器只需要允许访问内网ip地址即可，不需要配备访问公网的ip地址。注意：在域间方略里匹配的次序和policy的数字没有关系，他是从前往后检查，如果前一种匹配就不检查下一条了，如果先写的policy3后写的policy2，那么就先执行policy3里的语句，如果policy3里和policy2里有相似的地址，只要上一种匹配了就不执行下一种同样的地址了。举例阐明：policy2里允许通过，policy3里回绝通过，哪个policy先写的就执行哪个。[USG5300]policyinterzoneuntrustdmzinbound[USG5300-policy-interzone-dmz-untrust-inbound]policy2[USG5300-policy-interzone-dmz-untrust-inbound-2]policydestination0[USG5300-policy-interzone-dmz-untrust-inbound-2]policyserviceservice-setftp[USG5300-policy-interzone-dmz-untrust-inbound-2]actionpermit[USG5300-policy-interzone-dmz-untrust-inbound-2]quit[USG5300-policy-interzone-dmz-untrust-inbound]policy3[USG5300-policy-interzone-dmz-untrust-inbound-3]policydestination0[USG5300-policy-interzone-dmz-untrust-inbound-3]policyserviceservice-sethttp[USG5300-policy-interzone-dmz-untrust-inbound-3]actionpermit[USG5300-policy-interzone-dmz-untrust-inbound-3]quit[USG5300-policy-interzone-dmz-untrust-inbound]quit应用FTP的NATALG功效。[USG5300]firewallinterzonedmzuntrust###优先级高的区域在前

[USG5300-interzone-dmz-untrust]detectftp

[USG5300-interzone-dmz-untrust]quit

在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等合同的会话时，需要在域间启动ALG功效配备NATALG功效与配备应用层包过滤（ASPF）功效使用的是同一条命令。因此如果已经在域间配备过ASPF功效的话，能够不需要再重复配备NATALG功效。两者的区别在于：ASPF功效的目的是识别多通道合同，并自动为其开放对应的包过滤方略。NATALG功效的目的是识别多通道合同，并自动转换报文载荷中的IP地址和端口信息。在域间执行detect命令，将同时启动两个功效。配备内部服务器：<USG5300>system-view[USG5300]natserverprotocoltcpglobal68080insidewww[USG5300]natserverprotocoltcpglobal7ftpinsideftp6.4.3NAT方略Trust和Untrust域间：如果是同一种区域，例如trust到trust就是域内。基于源IP地址转换方向Outbound方向：数据包从高安全级别流向低安全级别Inbound方向：数据包从低安全级别流向高安全级别高优先级与低优先级是相对的根据基于源IP地址端口与否转换分为no-pat方式和napt方式。No-PAT方式：用于一对一IP地址转换，不涉及端口转换NAPT方式：用于多对一或多对多IP地址转换，涉及端口转换1、通过地址池的方式policy1：允许网段为/24的内网顾客访问Internet时进行源地址转换,采用公网地址池的形式。配备地址池[USG5300]nataddress-group160配备Trust和Untrust域间出方向的方略[USG5300]nat-policyinterzonetrustuntrustoutbound[USG5300--policy-interzone-trust-untrust-outb